2021-10-09 5 Minuten

So etwas passiert uns doch nicht.

Ein Satz, der sich so falsch anfühlt wie Autofahren ohne Gurt.

In China gilt es als Zeichen des fehlenden Vertrauens gegenüber dem Taxifahrer, einen Gurt anzulegen. Schön und gut, Ich vertraue dir schon, Mr. 1-Meter-Abstand-muss-reichen. Aber wenn das Schadensausmaß mein Leben ist, ist mir egal ob du glaubst, ich vertraue dir nicht. Ich werde mich vorbereiten.

So etwas passiert uns doch nicht.

Ich bin mir sicher, dass dieser Satz auch von einigen Personen gesagt wurde, die jetzt beatmet werden, oder gar nicht mehr unter uns weilen.

So etwas passiert uns doch nicht.

Sagen Unternehmen die sich noch nie angesehen haben, wie hoch die Wahrscheinlichkeit denn wirklich ist, dass es ihnen einmal passieren wird.

Es gibt ja Regeln, und wir haben den MitarbeiterInnen auch mal gesagt, dass sie nicht auf böse Links klicken sollen. Dass sie sich nicht mit der Firmen E-Mail überall registrieren sollen. Dass sie sichere Passwörter verwenden sollen. Nun, ich habe hier mehr als 2 Terabyte Username und Passwort-Kombinationen auf meiner Festplatte liegen die beweisen, dass sich kaum jemand daran hält. Selten bin ich bei Unternehmen unterwegs, zu deren Domain ("@unternehmen.xyz") keine Passwörter finde.

In einem meiner Webinare hatte ich einen Teilnehmer von einem Unternehmen, dessen ehemaliger Geschäftsführer mit der Firmen E-Mail in einem Sex-Forum registriert war.

Das mag gute Gründe haben (damit es die Partnerin nicht mitkriegt?), stellt aber ein nicht unerhebliches Risiko für das Unternehmen dar. So jemand ist erpressbar. Wenn ich überhaupt erpressen muss, weil sein Passwort war auch nicht soooo gut.

Nein, ihr seid auch nicht zu klein.

Ein IT-Dienstleister in Oberösterreich wird gehackt. Ein kleineres Unternehmen, über das 34 Kunden des Unternehmens verschlüsselt wurden. Ein "zu klein" gibt es bei Ransomware nicht. Und schon gar nicht beim sogenannten Business E-Mail Compromise (BEC), wo mit Fake-E-Mails des Chefs versucht wird, Überweisungen im Unternehmen anzustoßen.

Die einzige Heuristik, auf die man hören sollte

Dabei zeigt sich immer wieder: Wenn etwas passiert ist, ist plötzlich Geld für IT-Sicherheit da. Das ist eigentlich alles, was man wissen muss.

Nur hat man dann nicht nur die Kosten für den Vorfall selbst (jenseits der zehntausenden Euros – wenn alles gut geht!), sondern man muss noch dazu die Dinge tun, die bereits im Vorfeld so einen Vorfall verhindert hätten.

Man muss sich also entscheiden zwischen:

Kosten für den Vorfall
+ Kosten für IT-Sicherheitsmaßnahmen

oder

Kosten für IT-Sicherheitsmaßnahmen

Da muss man kein BWL studiert haben, um diese Rechnung zu lösen.

Aber zum Glück gibt es eine viel einfachere Lösung: Bei jedem Artikel über einen Hack, jedem Beitrag über ein verschlüsseltes Unternehmen schütteln wir einfach den Kopf und sagen:

"So etwas passiert uns doch nicht."

Feedback oder Fragen?

Schreib mir auf Social Media oder E-Mail:

Keine Posts verpassen!

Jetzt eintragen und wöchentlich die Hacks der Woche, sowie neue Blogposts erhalten!

...oder direkt zum Erstgespräch:

Im Erstgespräch lernen Sie mich und meine Philosophie kennen, und wir diskutieren kurz, wie ich Ihnen helfen kann. Damit Sie und Ihr Unternehmen:

  • Sicherer werden
  • Im Extremfall schnell wieder einsatzfähig sind
  • Nicht bei jedem Artikel über Hacking froh sein müssen, dass es diesmal wieder nicht Sie erwischt hat
Jetzt gratis Erstgespräch buchen!

Hacking-
Vorfall?